O que é segurança IP (IPSec), protocolos de segurança TACACS e AAA

what is ip security

Experimente Nosso Instrumento Para Eliminar Problemas

Selecione O Sistema Operacional Escolha Um Programa De Projeção (Opcionalmente)

Descreva Seu Problema

Guia completo para segurança IP (IPSec), protocolos de segurança de acesso à rede TACACS e AAA:

No tutorial anterior, aprendemos sobre Protocolos HTTP e DHCP em detalhes e também aprendemos mais sobre o funcionamento dos protocolos presentes em diferentes camadas do modelo TCP / IP e do modelo de referência ISO-OSI.

Aqui, saberemos como obter acesso a redes distintas e que tipo de processo de autenticação será seguido pelos usuários finais para chegar a uma determinada rede e acessar seus recursos e serviços com a ajuda dos protocolos de segurança.

Leitura recomendada => Guia para redes de computadores

Protocolos de segurança de acesso à rede - Parte 1

Existem centenas de padrões e protocolos para autenticação, criptografia, segurança e acesso à rede. Mas aqui estamos discutindo apenas alguns dos protocolos mais popularmente usados.

O que você aprenderá:

O que é segurança IP (IPSec)?
TACACS (Sistema de controle de acesso ao controlador de acesso ao terminal)
AAA (autenticação, autorização e contabilidade)

O que é segurança IP (IPSec)?

IPSec é um protocolo de segurança usado para fornecer segurança na camada de rede do sistema de rede. O IPSec autentica e criptografa os pacotes de dados em uma rede IP.

Características do IPSec

Ele protege o pacote geral de dados produzido na camada IP, inclusive os cabeçalhos da camada superior.
O IPSec funciona entre duas redes diferentes, portanto, a adoção de recursos de segurança é mais fácil de implementar, sem fazer alterações nos aplicativos em execução.
Provê segurança baseada em host também.
A tarefa mais frequente do IPSec é proteger a rede VPN (uma rede privada virtual) entre duas entidades de rede diferentes.

Funções de segurança:

Os nós de origem e destino podem transmitir mensagens na forma criptografada e, assim, facilitar a confidencialidade dos pacotes de dados.
Mantém autenticação e integridade de dados.
Oferece proteção contra ataques de vírus por meio do gerenciamento de chaves.

Operação de IPSec

O funcionamento do IPSec está dividido em duas sub-partes. O primeiro é a comunicação IPSec e o segundo é a troca de chave da Internet (IKE).
A comunicação IPSec é responsável por gerenciar a comunicação segura entre dois nós de troca usando protocolos de segurança como cabeçalho de autenticação (AH) e SP Encapsulado (ESP).
Também inclui funções como encapsulamento, criptografia de pacotes de dados e processamento de datagrama IP.
IKE é um tipo de protocolo de gerenciamento de chave utilizado para IPSec.
Este não é um processo necessário, pois o gerenciamento de chaves pode ser executado manualmente, mas para grandes redes, o IKE é implantado.

Modos de comunicação IPSec

Existem dois tipos de modos de comunicação, i, e. transporte e modo de túnel. No entanto, como o modo de transporte é retido para comunicação ponto a ponto, o modo túnel é mais amplamente implantado.

No modo de túnel, o novo cabeçalho IP é adicionado ao pacote de dados e é encapsulado antes de introduzirmos qualquer protocolo de segurança. Nisso, através de um único gateway, múltiplas sessões de comunicação podem ser entretidas.

O fluxo de dados no modo túnel é mostrado com a ajuda do diagrama abaixo.

Modo de comunicação IP sec

Protocolos IPSec

Os protocolos de segurança são usados para atender aos requisitos de segurança. Várias associações de segurança são criadas e mantidas entre dois nós usando protocolos de segurança. Os dois tipos de protocolos de segurança usados pelo IPSec incluem cabeçalho de autenticação (AH) e carga útil de segurança de encapsulamento (ESP).

Cabeçalho de autenticação (AH): Ele fornece a autenticação impondo AH no pacote de dados IP. O local onde a unidade principal deve ser adicionada é baseado no modo de comunicação usado.

O funcionamento do AH é baseado no algoritmo de hashing e uma chave classificada que também pode ser decodificada pelos nós do usuário final. O processamento é o seguinte:

Com a ajuda da SA (associação de segurança), as informações de IP de origem e destino são coletadas e qual protocolo de segurança será implantado também são conhecidos. Assim que ficar claro, aquele AH será implantado e o cabeçalho será usado para determinar o valor dos parâmetros detalhados.
O AH é de 32 bits e parâmetros como índice de parâmetro de sequência e dados de autenticação em associação com SA fornecerão o fluxo de protocolo.

Processo de autenticação AH

Protocolo de segurança de encapsulamento (ESP): Este protocolo é capaz de fornecer os serviços de segurança que não são caracterizados pelo protocolo AH como privacidade, confiabilidade, autenticação e resistência à reprodução. A série de serviços outorgados depende das opções escolhidas na instância de iniciação do SA.

O processo de ESP é o seguinte:

Uma vez identificado que ESP será usado, os vários parâmetros de cabeçalhos são calculados. O ESP tem dois campos importantes, ou seja, cabeçalho do ESP e trailer do ESP. O cabeçalho geral é de 32 bits.
O cabeçalho tem o índice do parâmetro de segurança (SPI) e o número de sequência, enquanto o trailer tem o comprimento do preenchimento dos campos, a próxima especificação do cabeçalho e, mais importante, os dados de autenticação.
O diagrama abaixo mostra como a criptografia e a autenticação são fornecidas no ESP usando o modo de comunicação de túnel.
Os algoritmos de criptografia usados incluem DES, 3DES e AES. Os outros também podem ser usados.
A chave secreta deve ser conhecida tanto na extremidade de envio quanto na de recebimento, para que eles possam extrair a saída desejada.

Processo de autenticação ESP

ESP

Associação de Segurança em IPSec

SA é parte integrante da comunicação IPSec. A conectividade virtual entre a origem e o host de destino é configurada antes da troca de dados entre eles, e essa conexão é chamada de associação de segurança (SA).
SA é uma combinação de parâmetros como descobrir protocolos de criptografia e autenticação, chave secreta e compartilhá-los com duas entidades.
SAs são reconhecidos pelo número de índice de parâmetro de segurança (SPI) que está presente no cabeçalho do protocolo de segurança.
O SA é identificado de maneira distinta pelo SPI, endereço IP de destino e um identificador de protocolo de segurança.
O valor SPI é um número evoluído arbitrário que é usado para mapear os pacotes de dados recebidos com o do destinatário na extremidade do receptor, de modo que se torne simples identificar os diferentes SAs atingindo o mesmo ponto.

TACACS (Sistema de controle de acesso ao controlador de acesso ao terminal)

É o protocolo mais antigo para o processo de autenticação. Foi usado em redes UNIX, o que permite que um usuário remoto passe o nome de usuário e senha de login para um servidor de autenticação para avaliar o acesso concedido ao host do cliente ou não em um sistema.

O protocolo usa a porta 49 do TCP ou UDP por padrão e permite que o host do cliente reconheça o nome de usuário e a senha e encaminhe uma consulta ao servidor de autenticação TACACS. O servidor TACACS é conhecido como daemon TACACS ou TACACSD que descobre se deve permitir e negar a solicitação e reverte com uma resposta.

Com base na resposta, o acesso é concedido ou negado e o usuário pode fazer login usando conexões dial-up. Assim, o processo de autenticação é dominado pelo TACACSD e não está muito em uso.

Portanto, o TACACS é comutado pelo TACACS + e pelo RADIUS, que são usados na maioria das redes atualmente. O TACACS usa a arquitetura AAA para autenticação e servidores distintos são usados para completar cada processo envolvido na autenticação.

char para int c ++

TACACS + funciona em TCP e protocolo orientado a conexão. O TACACS + criptografa todo o pacote de dados antes de transmitir, portanto, é menos sujeito a ataques de vírus. Na extremidade remota, a chave secreta é usada para descriptografar todos os dados no original.

TACACS

AAA (autenticação, autorização e contabilidade)

Esta é uma arquitetura de segurança de computador e vários protocolos seguem essa arquitetura para fornecer autenticação.

O princípio de funcionamento dessas três etapas é o seguinte:

Autenticação: Ele especifica que o cliente usuário que está solicitando um serviço é um usuário genuíno. O processo é realizado por meio da apresentação de credenciais como senha de uso único (OTP), certificado digital ou por meio de ligação telefônica.

Autorização: Com base no tipo de serviço permitido ao usuário e com base na restrição do usuário, a autorização é concedida ao usuário. Os serviços incluem roteamento, alocação de IP, gerenciamento de tráfego, etc.

Contabilidade: A contabilidade é implantada para fins de gerenciamento e planejamento. Ele contém todas as informações necessárias, como quando um determinado serviço irá iniciar e terminar, a identidade do usuário e os serviços usados, etc.

O servidor fornecerá todos os serviços acima e os entregará aos clientes.

Protocolos AAA : Como sabemos, no passado TACACS e TACACS + eram usados para o processo de autenticação. Mas agora existe mais um protocolo conhecido como RADIUS que é baseado em AAA e é amplamente usado em todo o sistema de rede.

Servidor de acesso à rede: É um componente de serviço que atua como uma interface entre o cliente e os serviços dial-up. Está presente no final do ISP para fornecer acesso de internet aos seus usuários. NAS também é um ponto de acesso solo para usuários remotos e também atua como um gateway para proteger os recursos da rede.

Protocolo RADIUS : RADIUS significa serviço de usuário de discagem com autenticação remota. É basicamente usado para aplicativos como acesso à rede e mobilidade IP. Os protocolos de autenticação como PAP ou EAP são implantados para autenticar assinantes.

O RADIUS funciona no modelo cliente-servidor que opera na camada de aplicativo e usa a porta TCP ou UDP 1812. O NAS que atua como gateway para acessar uma rede inclui o cliente RADIUS e também os componentes do servidor RADIUS.

O RADIUS funciona na arquitetura AAA e, portanto, usa dois formatos de mensagem do tipo pacote para realizar o processo, uma mensagem de solicitação de acesso para autenticação e autorização e solicitação de contabilidade para supervisionar a contabilidade.

Autenticação e autorização em RADIUS:

perguntas e respostas da entrevista de programação java para experientes

O usuário final envia uma solicitação ao NAS buscando acesso à rede, utilizando as credenciais de acesso. Em seguida, o NAS encaminha uma mensagem de solicitação de acesso RADIUS ao servidor RADIUS, aumentando a permissão de acesso à rede.

A mensagem de solicitação é composta por credenciais de acesso como nome de usuário e senha ou assinatura digital do usuário. Ele também possui outros dados como endereço IP, número de telefone do usuário etc.

O servidor RADIUS examina os dados usando métodos de autenticação como EAP ou PAP. Depois de confirmar as informações de credencial e outros dados relevantes, o servidor retorna com esta resposta.

Fluxo de autenticação e autorização RADIUS

# 1) Rejeição de acesso : O acesso é rejeitado porque a prova de identidade ou ID de login enviada não é válida ou expirou.

# 2) Desafio de acesso : Além dos dados básicos de credencial de acesso, o servidor também requer outras informações para conceder acesso, como OTP ou número PIN. É basicamente usado para autenticação mais sofisticada.

# 3) Aceitar acesso : A permissão de acesso foi concedida ao usuário final. Após a autenticação do usuário, o servidor em intervalos regulares de tempo examina se o usuário está autorizado a usar os serviços de rede solicitados. Com base nas configurações, o usuário pode ter permissão para acessar um determinado serviço apenas e não os outros.

Cada resposta RADIUS também possui um atributo de mensagem de resposta que apresenta o motivo da rejeição ou aceitação.

Os atributos de autorização como o endereço de rede do usuário, tipo de serviço concedido, o tempo de duração da sessão também passam para o NAS após o acesso ser concedido ao usuário.

Contabilidade:

Depois que o acesso é concedido ao usuário para fazer o login na rede, a parte de contabilidade entra em cena. Para denotar o início do acesso do usuário à rede, uma mensagem de solicitação de contabilidade RADIUS que consiste no atributo 'iniciar' é enviada pelo NAS para o servidor RADIUS.

O atributo de início consiste principalmente na identidade do usuário, hora de início e término da sessão e informações relacionadas à rede.

Quando o usuário deseja fechar a sessão, o NAS publicará uma mensagem de solicitação de contabilidade RADIUS que consiste em um atributo “parar” para interromper o acesso à rede ao servidor RADIUS. Também fornece o motivo para desconexão e uso final de dados e outros serviços da rede.

Em troca, o servidor RADIUS envia a mensagem de resposta de contabilidade como confirmação para desligar os serviços e encerrar o acesso do usuário à rede.

Fluxo de contabilidade RADIUS

Esta parte é usada principalmente para aplicativos em que estatísticas e monitoramento de dados são necessários.

Nesse ínterim, entre o fluxo de solicitação RADIUS e atributos de mensagem de resposta, o NAS também enviará atributos de solicitação de “atualização provisória” ao servidor RADIUS para atualizar a rede com alguns dados necessários mais recentes.

802.1X

É um dos protocolos padrão básicos para controlar o acesso à rede em um sistema.

O cenário do processo de autenticação envolve um dispositivo final conhecido como suplicante, que inicia a solicitação de serviço, o autenticador e o servidor de autenticação. O autenticador atua como uma proteção à rede e permite o acesso ao cliente solicitante apenas uma vez, até que a identificação do usuário seja verificada.

O funcionamento detalhado deste protocolo é explicado na parte 2 deste tutorial.

Conclusão

Com este tutorial, aprendemos como obter autenticação, autorização e provisionamento de segurança para a rede com a ajuda dos protocolos mencionados acima.

Também analisamos que esses protocolos tornam nosso sistema de rede seguro contra usuários não autorizados, hackers e ataques de vírus e fazem uma compreensão da arquitetura AAA.

Conhecimento profundo do protocolo 802.1X e protocolo 802.11i que especifica claramente o fato de como o acesso do usuário a uma rede pode ser controlado para fornecer apenas acesso limitado a uma rede classificada.

PREV Tutorial | PRÓXIMO Tutorial

Leitura recomendada

O que é rede de longa distância (WAN): exemplos de rede WAN ao vivo
O que é virtualização? Exemplos de virtualização de rede, dados, aplicativo e armazenamento
Etapas e ferramentas básicas para solução de problemas de rede
O que é segurança de rede: seus tipos e gerenciamento
IEEE 802.11 e 802.11i LAN sem fio e padrões de autenticação 802.1x
O que são HTTP (protocolo de transferência de hipertexto) e protocolos DHCP?
Protocolos de camada de aplicativo importantes: protocolos DNS, FTP, SMTP e MIME
IPv4 vs IPv6: Qual é a diferença exata

O que é segurança IP (IPSec), protocolos de segurança TACACS e AAA

O que é segurança IP (IPSec)?

Características do IPSec

Operação de IPSec

Modos de comunicação IPSec

Protocolos IPSec

Associação de Segurança em IPSec

TACACS (Sistema de controle de acesso ao controlador de acesso ao terminal)

AAA (autenticação, autorização e contabilidade)

802.1X

Conclusão

Leitura recomendada

Artigos Interessantes

Escolha Do Editor

Confira a primeira captura de tela da série de TV Fallout da Amazon

Saturno traz Elevator Action Returns e Cleopatra Fortune relançando neste inverno

Taito Milestones traz 10 (muito) clássicos da velha guarda para o Switch amanhã

Rockstar confirma que o próximo Grand Theft Auto está em desenvolvimento ativo

Starfield: Casa Va'ruun

Superliminal adicionará multiplayer de quebra-cabeça de perspectiva em atualização gratuita

Estilo Sinistro: Apresentando o novato de Street Fighter 6, J.P.

Outra atualização de hardware do Switch e ainda não há mais temas

O desenvolvedor do Genshin Impact, MiHoYo, abriu um novo estúdio em Montreal

Revisão: Ressuscitado

Comemore a superlua com esses mods de Skyrim: Special Edition

Nomeados para o Melhor Jogo Xbox de Destructoid de 2022